Patch the Planet：OpenAI支持开源维护者的AI安全计划

开源维护者正被AI工具发现的海量漏洞报告淹没。发现速度上去了，但筛选、验证、打补丁的人力根本没变。维护者要么照单全收低质量报告，要么错过真正严重的威胁——这两条路都走不通。OpenAI的Patch the Planet计划，就是想解决这个发现和修复之间的效率断层。

解决方案非常务实：OpenAI联合Trail of Bits和HackerOne，用GPT-5.5-Cyber和Codex Security做AI辅助的漏洞挖掘与补丁生成，但关键一步是——所有AI发现必须经人类安全工程师手动验证、去重、定级，确认无误后再提交给维护者。这样维护者拿到的是干净、高信噪比的报告和可直接合并的补丁。早期成果也很硬核：一天内搭建出传统需数周的fuzzing实验室；从历史CVE中提取模式做变体分析，挖出大量遗漏漏洞；还创造了差异测试、威胁模型等多种可复用的安全工程资产。

我的判断是，这个项目真正的价值不是“AI找到了更多漏洞”——那是意料之中。它在试探一个更关键的问题：当AI生成能力超过人类消化能力时，谁来做那个“滤波器”？Patch the Planet的答案是：由经验丰富的安全团队做AI和开源项目之间的缓冲层，把AI的输出从“噪声+信号”过滤成纯粹的“信号”。如果这个模式跑通，未来所有AI辅助安全产品都可能标配“人机协作验证”环节，而不是让终端用户直面AI的密度和不确定性。这对所有号称“赋能开发者”的AI工具，都是一个值得参照的设计范式。